Annonce

Réduire
Aucune annonce.

Exterminer un Trojan

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Exterminer un Trojan

    Acid Shivers

    Faites une recherche et effacez les fichiers: "en-cid12.exe" et "en-cid12.dat"

    --------------------------------------------------------------------

    Aol Trojan

    Effacer le clé "dat92003" dans la base de registre:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    Redemarrez votre ordi, ou fermez "dat92003.exe"
    Effacer le fichier "dat92003.exe" dans le repertoire c:\windows

    --------------------------------------------------------------------

    Attack Ftp

    Voici pour Infos ce que ce troyen fous comme bordel sur votre ordi :-)
    - Copie Wsgt32.dl_ dans le répertoire system et renomme le fichier en DrWatsom.exe
    - Copie Wsgt32.dl_ dans le répertoire windows et le renomme en Wver.dll
    - Copie Install.exe dans le répertoire system et le renomme en Wscan.exe
    - Ecris un clé dans Win.ini pour lancer Drwatsom.exe au prochain redémarrage
    - Ecris une clé dans la base de registre pour lancer Wscan.exe au démarrage
    - Crée Serv-u.ini dans le répertoire system
    - scanne le disque dur pour avoir TREE.DAT (password de Cute-FTP)
    - Copie les résultats dans c:\windows\Result.dll
    - Lance Drwatsom.exe
    - Mets un message d'erreur

    * Enlever le troyen (D'après l'auteur) :

    - Fermer Drwatsom (Ctrl+Alt+Suppr)
    - Executer la commande : "Wscan.exe Louis_Cypher"
    - Supprimer la clé:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Value wscan.exe
    - Supprimer Wscan.exe de c:\windows\system

    --------------------------------------------------------------------

    BackAge

    * Version 3.0 et 3.01 :

    Dans la base de registre, effacer ces 4 clés:
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    Voila apres faut virer SystemKernel32 dans le registre:
    HKEY_USERS\.Default\Software\Win\RUN

    Ensuite, trouve le fichier "system.ini" (normalement dans c:\windows\system.ini) et effacer les lignes:
    shell=Explorer.exe WinStop32.exe. under [boot]
    jusqu'a
    shell=explorer.exe

    Ensuite trouver "win.ini" (normalement dans c:\windows\win.ini) et effacer la ligne:
    run=WinStop32.exe under [Windows]

    Ensuite redemarrez l'ordi ou fermez "WinStop32.exe"
    Enfin, effacer "WinStop32.exe" dans le repertoire c:\windows
    (..:: Page provenant du site: www.tenka.fr.st ::..)



    * Version 3.1 et 3.1.1 et 3.2 SE :

    Effacer la clé "Internet Explorer Plugin" dans le registre:
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    Effacer aussi la clé "SystemKernel32" dans le registre:
    HKEY_USERS\.Default\Software\Win\RUN

    Ouvrir le fichier "systeme.ini" (Normalement dans c:\windows\systeme.ini) et effacer les lignes:
    shell=Explorer.exe MSkernel16.exe. under [boot]
    jusqu'a
    shell=explorer.exe

    Ouvrir ensuite le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
    run=MSkernel16.exe under [Windows]

    Redemarrez l'ordinateur ou fermez "MSkernel16.exe"
    Enfin, effacer le fichier "MSkernel16.exe" dans le repertoire c:\windows

    --------------------------------------------------------------------

    BackConstruction

    Copié dans:
    C:\WINDOWS\Cmctl32.exe

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Shell"="C:\\WINDOWS\\Cmctl32.exe"

    --------------------------------------------------------------------

    Back Door

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    --------------------------------------------------------------------

    Back Orifice

    La clé est en général :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => Standard Value .exe
    ou
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => 412124.TMP Value=412124.TMP
    Nombres au hasard se terminant par une extension .TMP

    * Version Back Orifice 120 :

    Utilisez "Bouffe Troyen"

    --------------------------------------------------------------------

    Bla

    Copié dans:
    C:\WINDOWS\$Temp\TROJAN.EXE"
    c:\windows\system\Rundll.exe

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "system"="C:\\WINDOWS\\$TEMP\TROJAN.EXE"
    "systemdoor"="c:\\windows\\system\\Rundll argp1"

    --------------------------------------------------------------------

    Barock

    * Version 1.0 et 2.0 :

    Effacer le clé "WCheckUp" dans le registre:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Redemarrez l'ordinateur ou fermez "WCheckUp.exe"
    Effacer le troyen "WCheckUp.exe" dans le repertoir System de Windows (c:\windows\system)



    * Version 2.1 :

    Le troyen "WinCheck.exe" doit etre fermé.
    Si vous n'arrivez pas a le fermer, passer sous DOS et fermez le... (close c:\windows\system\WinCheck.exe)

    Ensuite effacer la clé "WinCheck" dans le registre:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Puis effacer "WinCheck.exe" dans le repertoire Windows\System (c:\windows\sytem)

    --------------------------------------------------------------------

    Canasson

    Ouvrir le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
    run= msie5.exe under [Windows]
    (Noter qu'il y a beaucoup d'espace entre le run= et msie5.exe)

    Redemarrez votre ordi ou fermez "msie5.exe"
    Effacer le fichier du troyen "msie5.exe" (Normalement dans c:\)

    --------------------------------------------------------------------

    Deep Throat 3.1

    Copié dans :
    c:\windows\systray.exe

    [HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run]
    "Systemtray"="c:\\windows\\systray.exe"

    --------------------------------------------------------------------

    Evil FTP

    Dans le fichier "win.ini" effacer la clé:
    run=%windows system dir%\msrun.exe under the [Windows]

    Redemarrez votre ordi.
    Effacer le troyen "msrun.exe" dans le repertoire System de Windows (Normalement dans c:\windows\system)

    --------------------------------------------------------------------

    FakeVirii

    Se copie dans :
    C:\WINDOWS\system\nssx.exe (36 864 Bytes)

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    "Kernel32.dll"="c:\\windows\\ccc.exe"

    --------------------------------------------------------------------

    Frenzy 1.01

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Explore"="C:\\Program files\\msgsrv36.exe"

    --------------------------------------------------------------------

    Gate Crasher

    Il s'agit d'un troyen tré specifique:
    - Il a besoin de 2 fichier joints "port.dat" + un .EXE ou d'un .DOC
    Il infecte une macro de WORD, celle-ci contient le texte:
    "This file once opened checks to see if you have the latest
    version of winsck.ocx and you have so no updates are available"

    - Il n'ouvre pas le port tout de suite, il surveille si le DUN (Dial Up Network) est actif ou non...
    Dès qu'il est actif, il ouvre les ports. Il est alors indétectable

    la clé est :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer Value=EXPLORE.exe

    La taille de fichier "explore.exe" original est exactement de 94.208 Bytes
    La taille de "Port.dat" est de 94 208 Bytes
    La taille de "Port.exe" est de 40 960 Bytes
    La taille de "Port.doc" est de 39 424 Bytes

    --------------------------------------------------------------------

    GirlFriend

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run
    Windll Value c:\windows\windll.exe
    (Peut être renommé)

    Supprimez c:\windows\windll.exe

    windll.exe fait exactement 309.248 Bytes
    windll.exe fait exactement 189.196 Bytes (Ils sont deux fichiers)

    --------------------------------------------------------------------

    Hack'a'Tack

    Copié dans :
    C:\windows\Expl32.exe (241 397 bytes)

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Explorer32"="C:\\WINDOWS\\Expl32.exe"

    --------------------------------------------------------------------

    Icq Trojen

    Se place dans le répertoire ICQ et renomme le véritable ICQ en "ICQ2.exe"

    Le supprimer est très facile, il suffit de supprimer "ICQ.exe" et de renommer "ICQ2.exe" en "ICQ.exe"

    Vous pouez aussi utiliser "Bouffe Troyen"

    Server EXE original fait exactement 39.424 Bytes.
    Server Exe modifié fait exactement 27.779 Bytes
    Joint à Back Orifice, il fait 188.438 Bytes

    --------------------------------------------------------------------

    Indoctrination

    Copié dans :
    C:\windows\sysprot.exe (29184 bytes)

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
    "Msgsrv16"="Msgsrv16"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "Msgsrv16"="Msgsrv16"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Msgsrv16"="Msgsrv16 "

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Msgsrv16"="Msgsrv16"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    "Msgsrv16"="Msgsrv16"

    --------------------------------------------------------------------

    Ini Killer

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    Version 4:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    --------------------------------------------------------------------

    Kuang

    Se copie dans :
    c:\windows\_webcache_.exe
    C:\WINDOWS\SYSTEM\Temp$1.exe

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "WebAccelerator"="_webcache_.exe"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Temp$1.task"="C:\\WINDOWS\\SYSTEM\\Temp$1.exe"



    * Kuang 2 Full :

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "K2ps_full.task"="C:\\WINDOWS\\SYSTEM\ \K2ps_full.exe"
    (..:: Page provenant du site: www.tenka.fr.st ::..)



    * Kuang 2 :

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "K2ps"="C:\\WINDOWS\\SYSTEM\\K2psl.exe "

    --------------------------------------------------------------------

    Master Paradise

    * Version 99 beta 9.9 :

    Redemarrez votre ordi ou fermez le fichier "Angel.exe"
    Puis effacer le fichier "Angel.exe"



    * Version 98 beta 9.7 et beta 9.8 :

    Redemarrez votre ordi ou fermez le fichier "Uagent.exe"
    Puis effacer le fichier "Uagent.exe"



    * Version 98 beta 2 :

    Redemarrez votre ordi ou fermez le fichier "trojan.exe"
    Puis effacer le fichier "trojan.exe"

    --------------------------------------------------------------------

    Maverick's Matrix

    Copié dans:
    C:\WINDOWS\Wincfg.exe

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Wincfg.exe"="C:\WINDOWS\Wincfg.exe"

    --------------------------------------------------------------------

    Millenium

    Quand il est installé, une fenêtre de dialogue se lance disant "Le système est mis à jour"
    Se copie dans:
    C:\WINDOWS\SYSTEM\reg666.exe
    C:\WINDOWS\SYSTEM\regersys.ocx

    Les clés de la base sont :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Millenium Value=reg666.exe

    Et dans win.ini : run=C:\windows\system\reg666.exe



    --------------------------------------------------------------------

    Netbus

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    Version 2:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    --------------------------------------------------------------------

    Netbus Pro 2 + Beta + Netrex

    * Original NetbusPro 2 + Beta :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run
    NameoftheEXE Value c:\windows\nameofthe.exe

    Pour verifier que c'est surement Netbus pro qui fonctionne :
    HKEY_CURRENT_USER\NetBus
    HKEY_CURRENT_USER\NetBus Server\General
    ->Accept Value = 1*
    ->AccesMode Value = 2*
    ->Autostart Value = 1*
    ->TCPPort Value = 20340*
    ->Visibility Value = 3*
    Ce sont toutes les clés standart mais elles peuvent varier

    HKEY_CURRENT_USER\NetBus Server\Protection
    ->Password Value = A
    Le password est crypté et s'il y a A, c'est qu'il n'y a pas de password !

    Le serveur fait exactement 612.966 Bytes



    * The Version called Netrex

    Pour vérifier que c'est bien cette version qui tourne :
    ->HKEY_CURRENT _USER\NetRex
    ->HKEY_CURRENT_USER\NetRex Server\General
    ->Accept Value = 1*
    - >AccesMode Value = 2*
    ->Autostart Value = 1*
    ->TCPPort Value = 20340*
    ->Visibility Value = 3*
    Ce sont les clés standart mais elles peuvent varier.

    ->HKEY_CURRENT_USER\NetRex Server\Protection
    ->Password Value = A
    Le pass est crypté BLA BLA BLA ...



    * Version Netbus 1.5 et 1.6 et 1.7 :

    Utilisez "Bouffe Troyen"

    --------------------------------------------------------------------

    Netsphere

    Se copie dans :
    C:\WINDOWS\system\nssx.exe

    La clé de la base de registre est:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "NSSX"="C:\\WINDOWS\\system\\nssx.exe"



    * Netsphere Final :

    Copié dans :
    c:\windows\system\epp32.exe

    Effacer cette clé dans le registre:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "ExecPowerProfile"="C:\\WINDOWS\\system\\epp32.exe"

    --------------------------------------------------------------------

    Progenic Trojan Beta Series

    Copié dans :
    c:\windows\scandiskvr.exe

    Clé du registre:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Scandisk"="c:\\windows\\scandiskvr.exe"

    --------------------------------------------------------------------

    Remote Hack

    Effacer le clé "Norton Anti Virus" dans le registre:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Redemarrez votre ordi ou fermez "Norton.exe"
    Effacer "Norton.exe" dans le repertoire Windows.

    --------------------------------------------------------------------

    Remote Storm

    Effacer la clé "WinManager" dans le registre:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Redemarrez votre ordi ou fermez "DllRun.exe"
    Effacer les fichiers "DllRun.exe" et "DllCount.sys" dans le repertoire c:\windows\system

    --------------------------------------------------------------------

    Schoolbus

    Effacer la clé "Emt Indicator" dans le registre:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Redemarrez votre ordi ou fermez "Grcframe.exe"
    Effacer le troyen "Grcframe.exe" dans le repertoire Windows System (c:\windows\system)

    PS: Pour certaine version de ce troyen, il n'y a pas de clé inscrite dans le registre.

    --------------------------------------------------------------------

    Socket De Troie

    * Version 1.0 :

    Processus mémoire :
    Drvctrl95

    Fichier (322,560Ko) :
    C:\Windows\System\DrvCtrl95.exe

    Entrées dans le registre windows :
    1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    Nom valeur : Load DrvCtrl95

    2) Clé : HKEY_CLASSES_ROOT\DirectSocketsDrv\
    Nom valeur : DirectSocketsCtrlDrv
    (Elle empechera la version 1.0 de se réinstaller (voir patch))

    Port ouvert (TCP) :
    [5000]

    Client possible :
    TCP : pour le transfert de fichiers sur le port [5001]



    * Version 1.1 :

    Processus mémoire :
    MSchv32

    Fichier (335,872Ko) :
    C:\Windows\System\MSchv32.exe

    Entrées dans le registre windows :
    1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    Nom valeur : Load MSchv32 Drv

    2) Clé : HKEY_CLASSES_ROOT\DirectSockets\
    Nom valeur : DirectSocketsCtrl
    (Elle empechera la version 1.1 de se réinstaller (voir patch))

    Port ouvert (TCP) :
    [5000]

    Client possible :
    TCP : pour le transfert de fichiers sur le port [5001]



    * Version 2.3 :

    Processus mémoire (selon le fichier lancé) :
    Rsrcload
    OU
    Csmctrl32
    OU
    Mgadeskdll

    Fichiers (339,456Ko) :
    C:\Windows\Rsrcload.exe
    ET
    C:\Windows\System\Csmctrl32.exe
    ET
    C:\Windows\System\Mgadeskdll.exe

    Entrées dans le registre windows :
    1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    Nom valeur : Load Mgadeskdll

    2) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    Nom valeur : Load Rsrcload

    3) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
    Nom valeur : Load Csmctrl32

    Ports ouverts :
    TCP [30303]
    ET
    TCP [50505]
    ET
    TCP aléatoire entre [60000] et [65000]

    Clients possibles :
    TCP : pour le transfert de fichiers sur le port [5001]
    TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port

    Particularité :
    Tant qu'il tourne, il check et se réinstalle (fichiers + registre).
    Il est donc obligatoire de fermer le prossesus d'abord pour opérer ensuite depuis windows.
    Sinon, effacer tous les fichiers en DOS puis s'occuper du registre ensuite, sous windows.


    FIN.
    Ben voila plus jamais une infection par un trojans vous feras peur, perdre du temps et de l'argent^^)
    " Une teuf sans drogue c'est comme une levrette sans fessé, c'est quand même rare. "

    †|

  • #2
    :O Merci beaucoup !

    Commentaire


    • #3
      je ne voudrais pas passer pour unidiot mais comment faire pour savoir a quel style de trojan vous avez a faire!!!!j'ai un fichier que je ne peux supprimer et meme mes antivirus n'y font rien.fichier de configuration DviX LLC 2.6.1.8.mes antivirus sont norton(mode essai) et kapersky

      Commentaire

      Chargement...
      X